- Scop
- Obiective
- Domeniul de aplicare
- Conformitate
- Revizuire
- Declarație de politică
- 1. Politici de securitate a informațiilor
- 2. Organizarea securității informațiilor
- 3. Securitatea resurselor umane
- 4. Gestionarea activelor
- 5. Controlul accesului
- 6. Criptografie
- 7. Securitatea fizică și a mediului
- 8. Securitatea operațiunilor
- 9. Securitatea comunicațiilor
- 10. Achiziționarea, dezvoltarea și întreținerea sistemelor
- 11. Relațiile cu furnizorii
- 12. Gestionarea incidentelor de securitate a informațiilor
- 13. Aspecte de securitate a informațiilor ale managementului continuității activității
- 14. Conformitate
Scop
Informațiile care sunt colectate, analizate, stocate, comunicate și raportate pot fi supuse furtului, utilizării abuzive, pierderii și corupției.
Informațiile pot fi puse în pericol de o educație și formare deficitară și de încălcarea controalelor de securitate.
Incidentele de securitate a informațiilor pot da naștere la situații jenante, pierderi financiare, nerespectarea standardelor și a legislației, precum și la posibile judecăți îndreptate împotriva Universității.
Această Politică de securitate a informațiilor de nivel înalt se află alături de Politica de gestionare a riscurilor informaționale și de Politica de protecție a datelor pentru a oferi o schiță de nivel înalt și o justificare pentru controalele de securitate a informațiilor bazate pe riscuri ale Universității.
- Politica de gestionare a riscurilor informaționale
- Politica de protecție a datelor
Obiective
Obiectivele de securitate ale Universității sunt că:
- Riscurile noastre informaționale sunt identificate, gestionate și tratate în conformitate cu o toleranță la risc convenită
- Utilizatorii noștri autorizați pot accesa și partaja informații în siguranță pentru a-și îndeplini rolurile
- Controalele noastre fizice, procedurale și tehnice echilibrează experiența utilizatorului și securitatea
- Obligațiile noastre contractuale și legale referitoare la securitatea informațiilor sunt îndeplinite
- Învățământul nostru, activitatea de cercetare și administrativă ia în considerare securitatea informațiilor
- Individualele care accesează informațiile noastre sunt conștiente de responsabilitățile lor în materie de securitate a informațiilor
- Incidentele care afectează activele noastre informaționale sunt rezolvate și se învață din ele pentru a ne îmbunătăți controalele.
Domeniul de aplicare
Politica de securitate a informațiilor și controalele, procesele și procedurile de sprijinire a acesteia se aplică tuturor informațiilor utilizate la universitate, în toate formatele. Aceasta include informațiile procesate de alte organizații în relațiile lor cu Universitatea.
Politica de securitate a informațiilor și controalele, procesele și procedurile care o susțin se aplică tuturor persoanelor care au acces la informațiile și tehnologiile Universității, inclusiv părților externe care furnizează servicii de procesare a informațiilor pentru Universitate.
Un domeniu de aplicare detaliat, inclusiv o defalcare a utilizatorilor, a activelor de informații și a sistemelor de procesare a informațiilor, este inclus în documentul cadru al Sistemului de Management al Securității Informației (SMSI).
Conformitate
Conformitatea cu controalele din această politică va fi monitorizată de către echipa de Securitate a Informației și raportată Consiliului de Guvernanță a Informației.
Revizuire
O revizuire a acestei politici va fi efectuată de către echipa de securitate a informațiilor anual sau mai frecvent, după caz, și va fi aprobată de către Consiliul de guvernanță a informațiilor și de către Grupul executiv al universității.
Declarație de politică
Este politica Universității de a se asigura că informațiile sunt protejate împotriva unei pierderi de:
- Confidențialitate – informațiile vor fi accesibile numai persoanelor autorizate
- Integritate – acuratețea și caracterul complet al informațiilor vor fi menținute
- Disponibilitate – informațiile vor fi accesibile utilizatorilor și proceselor autorizate atunci când este necesar
Universitatea va implementa un Sistem de Management al Securității Informației bazat pe Standardul Internațional ISO 27001 pentru Securitatea Informației. Universitatea va face referire și la alte standarde, după cum este necesar, ținând cont de abordările adoptate de părțile interesate, inclusiv de partenerii săi de cercetare.
Universitatea va adopta o abordare bazată pe risc pentru aplicarea controalelor:
- Politici de securitate a informațiilor
- Organizarea securității informațiilor
- Securitatea resurselor umane
- Gestiunea activelor
- Accesul Control
- Criptografie
- Securitatea fizică și a mediului
- Securitatea operațională
- Securitatea comunicațiilor
- Achiziționarea sistemelor, Dezvoltare și întreținere
- Relații cu furnizorii
- Gestionarea incidentelor de securitate a informației
- Aspecte de securitate a informației ale gestionării continuității activității
- Conformitate
1. Politici de securitate a informațiilor
Se va defini un set de controale, procese și proceduri de nivel inferior pentru securitatea informațiilor, în sprijinul politicii de securitate a informațiilor de nivel înalt și al obiectivelor sale declarate. Această suită de documente de sprijin va fi aprobată de Consiliul pentru securitatea informațiilor, publicată și comunicată utilizatorilor universității și părților externe relevante.
2. Organizarea securității informațiilor
Universitatea va defini și pune în aplicare mecanisme de guvernanță adecvate pentru gestionarea securității informațiilor. Aceasta va include identificarea și alocarea responsabilităților de securitate, pentru a iniția și controla implementarea și funcționarea securității informațiilor în cadrul Universității.
Universitatea va numi cel puțin:
- Un executiv care să prezideze Consiliul de guvernanță a informațiilor și să își asume responsabilitatea pentru riscul informațional
- Un consiliu de guvernanță a informațiilor pentru a influența, supraveghea și promova gestionarea eficientă a informațiilor din Universitate
- Un specialist în securitatea informațiilor pentru a gestiona funcția zilnică de securitate a informațiilor
- Proprietarii activelor informaționale (IAO) pentru a-și asuma responsabilitatea locală pentru gestionarea informațiilor; și manageri ai activelor informaționale (IAM) responsabili pentru gestionarea zilnică a informațiilor
3. Securitatea resurselor umane
Politica de securitate a universității și așteptările privind utilizarea acceptabilă vor fi comunicate tuturor utilizatorilor pentru a se asigura că aceștia își înțeleg responsabilitățile. Educația și formarea în domeniul securității informației vor fi puse la dispoziția întregului personal, iar comportamentele slabe și necorespunzătoare vor fi abordate.
Dacă este posibil, responsabilitățile în materie de securitate vor fi incluse în descrierile de roluri, în specificațiile personale și în planurile de dezvoltare personală.
4. Gestionarea activelor
Toate activele (informații, software, echipamente electronice de prelucrare a informațiilor, utilități de serviciu și persoane) vor fi documentate și contabilizate. Vor fi identificați proprietarii pentru toate bunurile și aceștia vor fi responsabili pentru întreținerea și protecția bunurilor lor.
Toate bunurile informaționale vor fi clasificate în funcție de cerințele legale, de valoarea comercială, de caracterul critic și de sensibilitatea lor, iar clasificarea va indica cerințele de manipulare corespunzătoare. Toate activele informaționale vor avea un program definit de păstrare și eliminare.
5. Controlul accesului
Accesul la toate informațiile va fi controlat și va fi determinat de cerințele de afaceri. Accesul va fi acordat sau se vor face aranjamente pentru utilizatori în funcție de rolul lor și de clasificarea informațiilor, numai la un nivel care le va permite acestora să-și îndeplinească sarcinile.
Se va menține o procedură oficială de înregistrare și radiere a utilizatorilor pentru accesul la toate sistemele și serviciile de informații. Aceasta va include metode de autentificare obligatorii, bazate pe sensibilitatea informațiilor accesate, și va include luarea în considerare a mai multor factori, după caz.
Se vor implementa controale specifice pentru utilizatorii cu privilegii ridicate, pentru a reduce riscul de utilizare greșită a sistemului din neglijență sau deliberată. Se va implementa segregarea sarcinilor, acolo unde este posibil.
6. Criptografie
Universitatea va oferi îndrumări și instrumente pentru a asigura utilizarea corectă și eficientă a criptografiei pentru a proteja confidențialitatea, autenticitatea și integritatea informațiilor și sistemelor.
7. Securitatea fizică și a mediului
Instalațiile de procesare a informațiilor sunt adăpostite în zone sigure, protejate fizic împotriva accesului neautorizat, a deteriorării și a interferențelor prin perimetre de securitate definite. Vor fi instituite controale de securitate interne și externe stratificate pentru a descuraja sau a preveni accesul neautorizat și pentru a proteja bunurile, în special pe cele critice sau sensibile, împotriva atacurilor forțate sau subreptice.
8. Securitatea operațiunilor
Universitatea va asigura funcționarea corectă și sigură a sistemelor de prelucrare a informațiilor.
Acest lucru va include:
- Proceduri de operare documentate
- Utilizarea unui management formal al schimbărilor și al capacității
- Controale împotriva programelor malware
- Utilizarea definită a logării
- Managementul vulnerabilităților
9. Securitatea comunicațiilor
Universitatea va menține controale de securitate a rețelelor pentru a asigura protecția informațiilor din cadrul rețelelor sale și va furniza instrumentele și îndrumările necesare pentru a asigura transferul securizat de informații atât în cadrul rețelelor sale, cât și cu entități externe, în conformitate cu cerințele de clasificare și de manipulare asociate cu aceste informații.
10. Achiziționarea, dezvoltarea și întreținerea sistemelor
Exigențele de securitate a informațiilor vor fi definite în timpul dezvoltării cerințelor de afaceri pentru noi sisteme de informații sau modificări ale sistemelor de informații existente.
Controalele pentru atenuarea oricăror riscuri identificate vor fi puse în aplicare acolo unde este cazul.
Dezvoltarea sistemelor va fi supusă controlului modificărilor și separării mediilor de testare, de dezvoltare și operaționale.
11. Relațiile cu furnizorii
La stabilirea relațiilor cu furnizorii se vor lua în considerare cerințele de securitate a informațiilor ale universității, pentru a se asigura că bunurile accesibile furnizorilor sunt protejate.
Activitatea furnizorilor va fi monitorizată și auditată în funcție de valoarea bunurilor și de riscurile asociate.
12. Gestionarea incidentelor de securitate a informațiilor
Se vor pune la dispoziție îndrumări cu privire la ceea ce constituie un incident de securitate a informațiilor și la modul în care acesta trebuie raportat.
Încălcările efective sau suspectate ale securității informațiilor trebuie raportate și vor fi investigate.
Se vor lua măsuri corective adecvate și orice învățătură va fi încorporată în controale.
13. Aspecte de securitate a informațiilor ale managementului continuității activității
Universitatea va avea în vigoare măsuri pentru a proteja procesele de afaceri critice de efectele unor defecțiuni majore ale sistemelor informatice sau dezastre și pentru a asigura recuperarea lor în timp util, în conformitate cu nevoile de afaceri documentate.
Aceasta va include rutine de backup adecvate și reziliență încorporată.
Planurile de continuitate a afacerilor trebuie să fie menținute și testate în sprijinul acestei politici.
Se va efectua o analiză a impactului asupra afacerilor cu privire la consecințele dezastrelor, eșecurilor de securitate, pierderilor de servicii și lipsei de disponibilitate a serviciilor.
14. Conformitate
Proiectarea, operarea, utilizarea și gestionarea sistemelor informatice trebuie să respecte toate cerințele de securitate statutare, de reglementare și contractuale.
În prezent, aceasta include legislația privind protecția datelor, standardul industriei cardurilor de plată (PCI-DSS), orientările guvernamentale Prevent și angajamentele contractuale ale universității.
Universitatea va folosi o combinație de audit intern și extern pentru a demonstra conformitatea cu standardele alese și cu cele mai bune practici, inclusiv cu politicile și procedurile interne.
Acest lucru va include verificări ale sănătății IT, analize ale diferențelor față de standardele documentate, verificări interne privind conformitatea personalului și declarații din partea proprietarilor de active de informații.
.